1. 前言
本隐私政策用于说明 Telegram Messenger Inc.(以下简称“Telegram”)在您使用其云端即时通讯服务过程中,如何收集、使用、保存、保护以及共享与您相关的个人数据。这里所说的个人数据,既包括您主动提交的信息,也包括我们在服务运行过程中依法获得或生成的数据。文中“我们”指 Telegram,“您”指服务使用者。
1.1 隐私理念
Telegram 在处理用户数据时坚持两项核心原则:
第一,我们不会利用您的个人信息向您投放广告;
第二,我们只保留确保 Telegram 能够安全、稳定并提供完整功能所必需的数据。
本隐私政策属于 Telegram 服务条款的一部分,应与服务条款结合理解。服务条款对平台的使用规则进行了说明,而本政策重点解释数据相关事项。
本政策将重点说明以下问题:
我们基于什么法律依据处理您的个人数据;
可能收集哪些类型的数据;
如何采取措施保障数据安全;
这些数据会被用于哪些场景;
在什么情况下可能与他人共享;
您依法享有哪些与个人数据有关的权利。
若您居住在欧洲经济区(EEA),Telegram 仍作为服务提供方和数据控制者对您的个人数据负责。由于 Telegram 本身位于 EEA 以外,为履行 GDPR 第27条要求,我们指定欧洲数据保护办公室(EDPO)作为代表机构,处理与 GDPR 相关的咨询和请求。
我们处理个人数据,主要是基于合法利益原则。也就是说,这类处理对于维护和发展服务本身是必要的,例如:
向用户持续提供高效、创新且可用的通讯服务;
识别、预防并处理欺诈、滥用和安全风险。
当然,如果您的基本权利和自由明显高于上述合法利益,我们会遵循适用法律给予优先保护。
Telegram 是通讯服务,因此创建账户时必须提供手机号码。此外,您还需要提供一定的基础资料,例如昵称、头像和个人简介等。
为便于其他用户识别和联系您,您的显示名称、头像以及用户名(如设置)通常会对外可见。Telegram 并不要求您必须提交真实姓名,也不主动要求了解您的性别、年龄、兴趣偏好等信息。
用户在通讯录中为您设置的备注名,可能与您公开显示的用户名不同,因此不同联系人可能会看到不同的称呼。
您可以自主选择在个人资料中添加生日,并决定哪些人可以查看。系统默认仅限联系人可见,且相关用户可能会在生日当天收到提醒。某些情况下,年龄信息也可能被用于判断您是否有资格访问特定年龄限制内容。
对于 Telegram Business 用户,还可选择添加固定营业地址和营业时间。这些信息一旦填写并展示在资料页中,将默认为公开内容。
若您开启两步验证,或使用 Telegram Passport 保存文档,您可以设置密码恢复邮箱。该邮箱只用于密码找回,不会被用于营销或推广。
自 2022 年 9 月起,部分用户在登录时可能被要求提供邮箱,以便通过邮件接收验证码,而非依靠短信。在这种场景下,该邮箱地址将单独保存,仅服务于登录验证,并会一直保留到您更换邮箱或删除账号为止。
Telegram 的常规聊天属于云端服务模式。也就是说,您在普通聊天中的消息、图片、视频和文件等内容,会保存在 Telegram 服务器中,以便您在不同设备之间同步和访问。相关数据会被高度加密,且加密密钥分散保存在不同司法辖区的数据中心,从而降低未经授权访问的风险。
秘密聊天采用端到端加密,只有聊天双方持有解密密钥。Telegram 无法查看这些消息内容,也不会在服务器中保存秘密聊天记录。与此同时,关于秘密聊天的日志信息也不会长期保留,因此 Telegram 无法在事后获知您与谁、何时进行过秘密聊天。
在秘密聊天中发送的照片、视频和文件,会先以独立密钥加密,再通过聊天密钥进行二次加密处理。文件虽然可能暂存在 Telegram 服务器上,但服务器并不知道这些数据对应什么文件,也无法识别其所属聊天。为节省存储空间,这类随机加密数据会被定期清除。
Telegram 还支持公开频道和公开群组。此类公开空间中的内容属于云端聊天的一部分。虽然数据在存储和传输过程中同样会被加密,但由于这些社区面向公众开放,您在其中发布的信息可能会被所有人查看。
自 2024 年 6 月起,创作者可通过 Telegram Stars 对频道中的特定帖子设置付费访问。当用户购买后,系统会生成一份永久副本,保存在交易记录中。即便原帖随后被删除,或一方失去频道访问权限,该副本仍可能继续可见。
Telegram 使用电话号码作为账户唯一标识,这有助于用户从传统短信或其他通讯软件迁移过来,并继续保持社交联系。
同步联系人前,我们会征求您的授权。同步后,我们会保存您最近上传的联系人数据,以便当这些联系人加入 Telegram 时及时通知您,并正确显示他们的姓名。通常保存的信息主要包括联系人姓名和电话号码,而不会额外储存更多联系人资料。
系统也可能利用匿名化号码数据,推算哪些未注册号码更有可能加入 Telegram,从而在“邀请好友”界面中展示参考信息。
您可以随时在“设置—隐私与安全—数据设置”中关闭联系人同步,或删除服务器中已上传的联系人信息。
在安卓设备上,如您授权读取通话记录权限,Telegram 可能借此确认验证电话是否已接通,以完成账号验证,而不会将该权限用于其他用途。
如果您在聊天中分享位置,该数据会与其他消息一样,按照云端聊天或秘密聊天的对应方式处理。
若您启用了实时位置共享,或在“附近的人”功能中选择“让我可见”,即使应用未处于前台运行,Telegram 仍可能继续处理您的位置数据,以便向被授权的用户展示您的实时位置,直到该功能被关闭。
Telegram 在网页版中仅使用为服务运行所必需的 Cookie,不会借此进行广告投放或用户画像分析。Cookie 主要用于提升登录及使用体验。您通常可以通过浏览器对其进行管理,但若完全禁用 Cookie,Telegram Web 的某些功能可能无法使用。
若您在英国或欧洲经济区注册 Telegram,相关数据通常会存放于荷兰的数据中心。虽然这些机房由第三方运营,但服务器及网络资源由 Telegram 自行拥有和控制。数据始终处于高度加密状态,因此无论是当地工程人员还是未经授权的入侵者,都无法直接读取用户内容。
秘密聊天、通话内容以及 Telegram Passport 中保存的数据,均属于端到端加密范畴。这意味着 Telegram 服务器虽然可能负责传输或存储加密后的数据,但无法获取其真实内容。对于这类信息,我们实际接触到的只是无法直接解读的加密字符序列。
除本政策另有规定外,Telegram 仅在实现服务目的所必需的期限内保存您的个人数据,不会无期限保留。
Telegram 处理用户数据的首要目的,是确保云端通讯服务能够正常运行,包括在多设备之间同步消息、媒体文件和聊天记录,而无需用户依赖第三方云备份。
为了维护平台秩序、防止滥用并提高账户安全性,我们可能会收集某些元数据,例如 IP 地址、设备信息、所用应用版本、用户名变更记录等。此类数据主要用于安全风控,通常最多保存 12 个月。
为打击钓鱼、垃圾消息和其他违规行为,Telegram 的审核人员可能会检查被用户举报的消息。如果确认某些消息属于垃圾内容,相关账户可能被限制与陌生人联系,严重时甚至会被封禁。与此同时,系统也可能借助自动化算法分析云端聊天中的消息内容,以识别垃圾信息或诈骗行为。
为了让某些功能能在不同设备间保持一致,Telegram 可能会保留部分汇总后的元数据。
Telegram 也可能基于您使用服务时形成的聚合信息开发附加功能。例如,搜索栏中优先推荐常联系对象,或在附件菜单中优先展示您更可能使用的机器人。这类推荐依赖某种频率评分机制。若您不希望使用此功能,可在“设置—隐私与安全—数据设置”中关闭“建议常用联系人”,并清除相关数据。
Telegram 不会将您的个人数据用于广告定向,也不会将其用于其他商业化画像分析。平台虽然允许在公开频道中展示赞助信息,但这些推广内容仅依据公开频道的主题展示,而不是基于个人用户数据进行定向投放。
Telegram 向第三方开发者提供 API,允许其创建机器人。机器人看起来与普通 Telegram 用户相似,您可以与其私聊、将其加入群组,或通过内联方式使用其功能。在这些互动过程中,部分数据会被发送给对应的第三方开发者。
您可能通过多种方式与机器人产生数据交互,包括但不限于:
直接给机器人发送消息;
使用内联机器人;
加入包含机器人的群组;
点击机器人消息中的按钮;
通过机器人支付商品或服务;
向群组或频道发送加入请求;
在 Telegram Business 中将聊天机器人接入账户;
与由机器人控制的 Business 账户发起聊天。
在与机器人交互时,机器人开发者通常能够获得您的公开资料,例如显示名称、用户名和头像。
此外,根据具体交互方式,机器人还可能收到:
您主动发送给它的消息内容;
您点击其链接后暴露的 IP 地址(若该链接对应的网站由其控制);
您是否属于某个群组的信息;
您输入给内联机器人的查询内容;
在群组中,如机器人拥有读取权限,它还可能看到群内消息;
您设备或应用设置中的界面语言信息。
除少数特殊情况外,大多数机器人由第三方独立开发并运营,与 Telegram 没有从属关系。它们在访问或处理您的数据前,应由您自行决定是否授权。您使用这些机器人的行为,也将受到其各自服务条款和规则约束。
Business 用户可以将第三方机器人接入其 Telegram 账户,用于自动处理和回复消息。
当您向某些 Business 用户发送消息时,您实际接触到的可能并不是人工客服,而是其接入的机器人。此时,机器人可能会收到您的基础公开资料及对话信息。
如果您是 Business 用户,并将第三方机器人接入自己的账户,那么该机器人可能访问您的基础账户信息,还可能读取您授权其管理的私聊中的消息、媒体和文件。在您授予权限的范围内,它甚至可以代表您发送消息或执行其他操作。您可以随时进入相关设置页面修改或撤销这些权限。
自 Telegram 4.0 起,平台开放机器人支付功能。但 Telegram 本身不直接处理用户付款,而是依赖外部支付服务商完成交易。您的银行卡或信用卡信息由这些支付服务商负责接收、处理和保存。
当您购物付款时,银行卡信息会直接提交至支付服务商的服务器,而不会经过 Telegram。即使您选择保存支付方式,Telegram 也只会获得一个可重复使用的支付令牌,而无法通过该令牌反推出您的银行卡详情。
如果您填写收货地址等物流信息,这些内容会直接发送给相应商家或机器人开发者。若您选择保存以备下次使用,Telegram 可能代为存储;如您提出删除请求,我们会予以清除。
您可在 Telegram 的隐私与安全设置中清除与账户关联的支付及收货信息。一旦执行,Telegram 将删除已保存的支付令牌和收货信息,并请求支付服务商删除其保存的相关银行卡数据。
由于 Telegram 并不保存信用卡细节和具体交易信息,因此无法直接处理退款或投诉。对于争议付款,一般应由商家、支付机构以及相关银行处理。
当您与其他 Telegram 用户沟通并主动分享信息时,这些接收方可能位于欧洲经济区以外。您同意使用服务并向对方发送内容,即表示您授权 Telegram 按照本政策完成相关传输。尽管 Telegram 会采取加密等措施保障传输安全,但接收方仍有可能在您不知情的情况下再次转发相关内容,而这并不在 Telegram 的控制范围内。
为保障服务运营、升级和支持,Telegram 可能会在集团内部公司之间共享部分个人数据,包括位于英属维尔京群岛和迪拜的相关实体。此类共享将通过适当的数据保护安排进行,例如采用欧盟委员会认可的标准合同条款。
如果 Telegram 收到合法且有效的司法命令,并且该命令表明某用户涉嫌实施违反服务条款的犯罪行为,我们可能在完成法律审查后,向有关机关提供相应的 IP 地址和电话号码。相关披露会体现在平台定期发布的透明度报告中。
用户可手动启用消息翻译功能,Premium 用户还可使用自动翻译。在这种情况下,被翻译的文本内容可能会发送给 Google 或 Microsoft,以生成翻译结果。这些第三方仅被允许将数据用于翻译服务本身,而不会用于广告或其他商业用途。
某些用户可将语音或视频消息转写为文字。Telegram 在此过程中可能依赖 Google 提供语音识别能力,因此相关音频数据会被发送给 Google 用于生成转录结果。Telegram 表示,除音频本身外,不会额外共享账户信息或 IP 地址,而且相关数据不应用于其他 Google 产品或广告用途。
根据适用的数据保护法律,您在一定条件下享有以下权利:
获取我们持有的您的个人数据副本;
要求将这些数据转移给其他数据控制者;
删除或修改您的个人数据;
限制或反对我们对您数据的处理;
更正不准确或不完整的信息;
就数据处理问题向主管监管机构投诉。
如您希望行使上述任一权利,可通过政策中列出的联系方式向 Telegram 或其指定代表提出申请。
您也可以直接通过 Telegram 应用中的“设置—隐私与安全—数据设置”对部分数据使用方式进行控制,例如删除同步联系人等。
如果您决定不再使用 Telegram,可以通过停用页面删除账户。账户一旦删除,云端保存的消息、媒体、联系人以及其他相关数据都会被清除,而且此操作不可恢复。
在秘密聊天中,删除消息会同步通知对方设备一并删除。
在云端聊天中,发送后一段时间内,您可以选择将消息对所有参与者同时删除;超出该条件后,删除通常只会从您自己的记录中移除,而对方的记录仍可能保留,直到对方也将其删除。
在一对一聊天中,任何一方还可以清除双方全部聊天记录。
在超级群组和频道中,被删除的消息会从成员视图中移除,但部分管理痕迹可能会暂时保留,以便管理员查看最近操作。
秘密聊天支持自毁消息功能。消息被阅读后,倒计时开始,时间结束后,双方设备都会删除相应内容。对于自毁时间较短的媒体文件,系统会以模糊预览形式展示,查看预览即触发倒计时。
若您长期不登录 Telegram,系统默认会在至少 18 个月不活跃后自动删除您的账户及其云端数据。您可以在设置中自行调整这一自动销毁周期。